QakBot malware-ի հետևում կանգնած հաքերները կապված են ֆիշինգային հարձակման շարունակական արշավի հետ, որը հանգեցրել է Ransom Knight (aka Cyclops) ransomwarի և Remcos RAT-ի տեղադրմանը:
Սա ցույց է տալիս, որ «իրավապահ գործողությունները կարող են ոչ միայն ազդել Qakbot օպերատորների spam delivery-ի ենթակառուցվածքների վրա, այլ նաև նրանց command-and-control (C2) սերվերների վրա», – այսօր հրապարակված նոր զեկույցում նշեց Cisco Talos-ի փորձագետ՝ Գիլերմե Վեները:
QakBot-ը, որը նաև կոչվում է QBot կամ Pinkslipbot, Windows-based banking trojan է ստեղծել, որոնք իրենց հետագա գործողություններում payload-եր և ransomware-ներ են տարածում: 2023 թվականի օգոստոսի վերջին իրականացված լայնամասշտաբ Duck Hunt գործողությունները մեծապես վնասեցին համակարգերը:
Վերջին գործողությունն իր արշավը մեկնարկեց LNK ֆայլից, որը տարածվեց ֆիշինգային էլ.փոստով: Այն կիրառելիս վնասման շղթան շատ արագ է տարածվում և ի վերջո տեղակայում է Ransom Knight ransomware-ը: Ransom Knight ransomware-ը Cyclops ransomware-as-a-service (RaaS) scheme-ի վերջին վերաբրենդավորված տարբերակն է:
«Օպերատորները կարող են վերակառուցել Qakbot ենթակառուցվածքը՝ իրենց pre-takedown-ը ամբողջովին վերահսկելու համար»:
Cisco Talos-ի փոխանցմամբ հարձակման շղթաները օգտագործվում են նաև այլ malware-ային ծրագրեր փոխանցելու համար, ինչպիսիք են՝ DarkGate-ը, MetaStealer-ը և RedLine Stealer-ը:
«Հարձակման իրական շրջանակն ամբողջությամբ բացահայտելը դժվար է, բայց, ինչպես արդեն տեսել ենք, QakBot-ը տեղաբաշխման ցանցը շատ արդյունավետ է և հարձակման լայմանասշտաբ արշավներ մղելու ունակություն ունի», – նշվում է զեկույցում:
«Մենք դիտարկել և ընթերցել ենք ֆիշինգային նամակները, որոնք այս malware-ները տարածում են՝ իտալացի, գերմանացի և անգլիացի օգտատերերի շրջանում, ինչն էլ վկայում է, որ այս արշավը լայն տարածում ունի»:
Աղբյուրը ՝ https://thehackernews.com/